L'histoire - et les défis - des pare-feu de nouvelle génération

Il y a environ seize ans, en 2007, Palo Alto Networks a lancé son premier produit, qui a modifié à jamais la sécurité des réseaux. Le terme "pare-feu de nouvelle génération" (NGFW) n'avait pas encore été inventé. C'est ce qui s'est passé lorsque Gartner a introduit le terme en 2009. À l'époque, les produits de Palo Alto étaient regroupés sous l'appellation "Unified Thread Management" (UTM). Si Palo Alto n'a pas inventé l'UTM ou le NGFW, ils sont depuis devenus le produit phare dans ce domaine, à l'aune duquel tous les concurrents sont évalués. Pour les besoins de cet article, nous utiliserons le nom NGFW pour plus de simplicité.

Si ce que nous appelons aujourd'hui "le nuage" existait bel et bien en 2007, les centres de données étaient encore largement construits de manière traditionnelle : une coquille dure et croustillante de sécurité autour d'un centre mou et gluant de données et de calcul. Seules les organisations les plus audacieuses transféraient leurs actifs vers AWS (Amazon Web Services) et d'autres nouveaux services en nuage. Le centre de données avait encore un périmètre défini et connu. Les lignes étaient claires entre les actifs à l'intérieur du centre de données et ceux qui se trouvaient à l'extérieur. ‍

NGFWs : Parfaits pour protéger le périmètre du centre de données

Le NGFW, avec sa multitude de fonctions de sécurité puissantes, était parfaitement adapté à ce modèle. Les NGFW sont rapidement devenus les gardiens des centres de données, contrôlant soigneusement ce qui entre (et, dans une bien moindre mesure, ce qui sort) d'un réseau donné. De puissants processeurs personnalisés ont analysé et déplacé les paquets rapidement, et les responsables de la sécurité ont dormi un peu mieux la nuit, sachant que leurs actifs étaient protégés par une série de nouveaux outils.

Les fournisseurs de NGFW tels que Palo Alto Networks, Check Point et Fortinet se sont fixé un nouvel objectif : dominer l'intérieur du centre de données, en surveillant et en contrôlant le trafic entre les applications, alors que la segmentation du réseau est devenue la "nouveauté" à la mode.

Ici, cependant, ils ont été confrontés à un défi bien plus grand. Les NGFW étaient un choix évident pour protéger le périmètre du centre de données. Le coût prohibitif du matériel, des licences et de l'assistance était justifié par les avantages évidents, et le prix était maîtrisé par le fait que les connexions Internet dans les centres de données étaient relativement lentes par rapport à la connectivité à l'intérieur, et que le prix augmentait avec la largeur de bande. À l'intérieur, cependant, le rapport coûts/bénéfices est loin d'être aussi clair. Un pourcentage important de fonctions NGFW, comme l'atténuation des attaques DDoS ou la mise en forme du trafic, n'ont aucune valeur à l'intérieur de l'entreprise. Mais vous les avez payés, quoi qu'il en soit.

Comme si le coût exorbitant d'un débit de 10G n'était pas suffisamment dissuasif pour une utilisation interne, tous les coûts ont été doublés pour des raisons de redondance. Il était extrêmement difficile de justifier un coût cinq fois supérieur à celui d'un pare-feu traditionnel pour un ensemble de fonctionnalités qui étaient exagérées et souvent sans rapport avec la tâche à accomplir.

Cela dit, les réglementations industrielles et gouvernementales exigent certains contrôles à l'intérieur, du moins pour certaines catégories d'applications. L'HIPPA et le PCI viennent à l'esprit comme des exemples marquants. Les clients ont donc opté pour des solutions hybrides, avec des dispositifs NGFW protégeant la frontière et quelques applications critiques et spécifiques, les dispositifs traditionnels à état non NGFW se chargeant de la protection interne. Ce mariage malheureux entre l'ancien et le nouveau a fonctionné pendant un certain temps. Jusqu'à l'acceptation par le grand public de l'informatique dématérialisée.

Gérer la complexité du NGFW dans l'informatique dématérialisée

Le cloud public a bouleversé le monde de la sécurité. Mais pas pour tout le monde, et pas toujours de manière évidente.

N'oubliez pas que les NGFW effectuent un nombre impressionnant de traitements sur chaque paquet qui passe par leur châssis. L'architecture Intel, aussi omniprésente soit-elle, est un mauvais choix pour les quantités considérables de travail de bas niveau à effectuer au sein d'un NGFW. Palo Alto a choisi les processeurs réseau de Cavium pour effectuer l'inspection et la manipulation des paquets de bas niveau. Fortinet a conçu ses propres processeurs clients internes pour faire le travail.

Le NGFW d'aujourd'hui, selon les normes d'il y a seulement dix ans, est un superordinateur de la classe d'une agence gouvernementale, ce qui explique certainement une partie du coût. Les fournisseurs de NGFW ont rapidement réagi au passage au nuage en proposant des versions virtuelles de leurs produits, mais les performances étaient catastrophiques en raison des limites de l'architecture Intel.

Cela a entraîné des changements majeurs dans la manière dont la sécurité était gérée à la frontière des réseaux en nuage. Souvent, des dizaines de pare-feu virtuels étaient équilibrés en termes de charge. Les réseaux ont été réorganisés de manière à ce qu'il y ait beaucoup plus de points d'interconnexion Internet qu'à l'époque de la brique et du mortier, ce qui a permis de réduire les exigences en matière de performances par pare-feu. Les fournisseurs de pare-feu ont commencé à vendre leurs implémentations VM (Virtual Machine) par packs de six et dix, car un ou deux pare-feu ne pouvaient plus faire l'affaire.

Si cela vous semble complexe à mettre en place et à gérer, imaginez l'entreprise typique qui n'a transféré qu'une partie de ses actifs dans le nuage. Avec la prolifération des services IaaS (Infrastructure-as-a-Service ) et PaaS (Platform-as-a-Service), les frontières du réseau sont devenues de plus en plus floues. Alors que la définition du terme "nuage" dans le domaine des technologies de l'information était dérivée de l'idée d'un grand nombre d'ordinateurs (analogues à de la vapeur d'eau) vus ensemble à distance, il est devenu plus approprié d'utiliser une autre définition : "Quelque chose qui obscurcit ou fait tache".

Lorsque les centres de données ont commencé à héberger une sélection aléatoire d'applications et de parties d'applications dans le nuage, les autres applications (et parties d'applications) restant sur place, il est devenu incroyablement difficile de les protéger et d'appliquer la politique de sécurité. Cela s'explique en grande partie par le fait qu'il est devenu pratiquement impossible de définir les limites dans lesquelles la sécurité est généralement appliquée. Et même dans les cas où les limites étaient claires, le volume de matériel, de logiciels et de configurations de sécurité est devenu écrasant.

En conséquence, la sécurité a fait un grand pas en arrière.

Regarder vers l'avenir : Fonctionnalités du NGFW dans un environnement de microsegmentation

C'est ainsi qu'est né le domaine de ce que l'on appelait à l'origine la microsegmentation, et que l'on appelle aujourd'hui plus souvent la segmentation zéro confiance (ZTS).

Le concept de microsegmentation est simple : l'application d'une politique (c'est-à-dire des pare-feu) sur chaque serveur, contrôlant à la fois le trafic entrant et sortant vers tous les autres serveurs. Fondamentalement, la microsegmentation est simplement une extension de l'idée de segmentation du réseau poussée à l'extrême (un pare-feu par serveur). La microsegmentation a donné aux équipes de sécurité un nouvel outil puissant pour traiter les "frontières floues" autour et à l'intérieur de nos centres de données en abordant la sécurité serveur par serveur (ou au moins application par application).

Historiquement, la microsegmentation s'est occupée des ports et des protocoles sans plonger dans le domaine de l'inspection en profondeur nécessaire aux fonctions du NGFW.

Au sein de l'Office of the CTO, mon travail consiste à jouer à "et si..." et à essayer d'anticiper les problèmes futurs potentiels et leurs solutions possibles. Ainsi, les recherches actuelles d'Illumio portent sur les possibilités de mise en œuvre des fonctions du NGFW dans un environnement de microsegmentation.

Lisez mon blog la semaine prochaine pour en savoir plus sur les recherches d'Illumio et sur les développements futurs potentiels de la microsegmentation.